Nodepod est un des outils les plus rudimentaires de Windows. Mais Microsoft cherche à le moderniser pour le transformer en éditeur moderne avec fonctions d'édition plus complets, formatage des textes, gérer les liens et l'apparition du Markdown. Et là, c'est un peu la catastrophe. Une vulnérabilité, la CVE-2026-20841, affiche une sévérité haute. L'attaque potentielle est une injection de commande en autorisant une exécution d'applications non autorisée. 

La faille est aussi simpliste que gênante.

1 / on crée un fichier .md

2 / ce document contient des liens vers des applications, des codes

3 / si l'utilisateur clique sur un lien embarqué, il arrive que le lien réussit à bypasser la vérification et la validation de Windows pour autoriser ou non l'installation ou l'exécution d'une app distance

Si l'utilisateur possède des droits élevés, le lien compromis les possède aussi... Les mécanismes laissent passer des protocoles et des liens sans en avertir l'utilisateur. 

Cette faille concerne les versions 11.2510 et antérieures. Elle a été patchée dans Patch Tuesday de février. A voir si la solution apportée suffira